美方网攻中国授时中心 细节公布 42款特种武器曝光！国家安全机关披露了美国国家安全局（NSA）对国家授时中心实施的重大网络攻击活动。2022年3月起，NSA利用某国外品牌手机短信服务漏洞，秘密监控十余名国家授时中心工作人员，非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起，NSA在“三角测量”行动曝光前，多次于北京时间凌晨，利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机，刺探内部网络建设情况。2023年8月至2024年6月，NSA针对性部署新型网络作战平台，对国家授时中心多个内部业务系统实施渗透活动，并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。

此次事件中，NSA在战术理念、操作手法、加密通讯、免杀逃逸等方面表现出世界领先水准。NSA通过使用正常业务数字证书、伪装Windows系统模块、代理网络通信等方式隐蔽其攻击窃密行为，并深入研究杀毒软件机制以避免检测。NSA使用网攻武器构建回环嵌套加密模式，加密强度远超常规TLS通讯，使通信流量更难以解密还原。在整个活动周期，NSA会对受控主机进行全面监控，文件变动、关机重启都会导致其全面排查异常原因。NSA还会根据目标环境动态组合不同网攻武器功能模块进行下发，显示出其统一攻击平台具备灵活的可扩展性和目标适配能力。尽管如此，整体创新性缺失和部分环节乏力，表明技术迭代升级面临瓶颈困境。

此次攻击过程中，NSA利用“三角测量行动”获取授时中心计算机终端的登录凭证，进而获取控制权限，部署定制化特种网攻武器，并针对授时中心网络环境不断升级网攻武器，进一步扩大网攻窃密范围，以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。NSA使用的网攻武器共计42款，可分为三类：前哨控守（如“eHome_0cx”）、隧道搭建（如“Back_eleven”）和数据窃取（如“New_Dsz_Implant”），以境外网络资产作为主控端控制服务器实施攻击活动共计千余次。